Overwinning of afhankelijkheid?
UU en SURF bewegen Microsoft tot wereldwijde aanpassing in schijfencryptie Windows
Wat begon als een student met een ontoegankelijke laptop, eindigde met een wereldwijde aanpassing in Windows. De Universiteit Utrecht en SURF slaagden erin Microsoft te bewegen tot een fundamentele wijziging in de schijfencryptie van BitLocker. Maar wat betekent dat op lange termijn voor de autonomie van de onderwijs- en onderzoekssector?
De Universiteit Utrecht (UU) en SURF hebben Microsoft ertoe gebracht wereldwijd een fundamentele aanpassing aan te brengen in de beveiliging van Windows. De aanleiding was een ongewenste werking van BitLocker, de schijfencryptie in Windows die automatisch gegevens op een apparaat of schijf versleutelt om ze te beveiligen tegen ongeautoriseerde toegang.
In 2023 werd BitLocker geactiveerd bij de UU. Voor studenten die op hun privélaptops gebruikmaakten van de Microsoft-licentie van de universiteit, werd BitLocker ook automatisch aangezet, zonder dat de UU hiervoor had gekozen. Wanneer de studenten hun versleutelde pc’s weer wilden gebruiken, moesten ze ermee naar de universiteit. Want die had als licentiehouder de digitale sleutel om de toegang te herstellen.
Een student legt de vinger op de zere plek
In de zomer van 2023 nam een student van de UU voor dit probleem contact op met de IT-servicedesk. De universiteit concludeerde dat het principieel onjuist was dat privélaptops werden geblokkeerd door een beveiliging van de instelling. Die heeft immers geen zeggenschap over de privégegevens van studenten. Bovendien geeft de situatie veel ergernis en ongemak zolang het dataslot in werking is.
Jonas Folkers
De UU was niet de enige die het probleem signaleerde. Dit bleek uit gesprekken van Jonas Folkers, privacy officer bij de UU, met andere onderwijsorganisaties. Hij zocht contact met SURF om het issue als collectief bij Microsoft aan te kaarten.
“We hebben het ingestoken als een privacyvraagstuk”, zo vertelt hij. Op die manier kon het probleem worden neergelegd bij de juridische afdeling van Microsoft, als eis tot verandering, in plaats van als featureverzoek bij de serviceafdeling. “We stelden dat deze case berustte op een onrechtmatige verwerking van persoonsgegevens. Microsoft handelde niet in opdracht van de onderwijsorganisatie en maakte deze ongevraagd eindverantwoordelijk voor het zonder toestemming toepassen van de versleuteling.”
Microsoft past Windows aan
Microsoft erkende het probleem en kwam eerst met een quick fix. Die bestond uit een programmaatje waarop studenten met hun UU-authenticatie konden inloggen. Hiermee konden ze vervolgens de herstelcode downloaden, en opslaan op een plek waar ze zelf toegang toe hadden. Folkers zegt dat deze oplossing niet is ingezet. “We wilden onze studenten niet aanleren dat ze inloggegevens moeten invoeren in een programmaatje dat via e-mail is aangeleverd. Dat gaat in tegen de best practices op het gebied van informatiebeveiliging.”
“Collega’s van andere instellingen herkenden het probleem. Daardoor voelde het heel natuurlijk om te escaleren naar SURF.”
Uiteindelijk heeft Microsoft het probleem oktober vorig jaar definitief opgelost in de 24H2-versie van Windows. Bij een student die een lokaal Microsoft-account gebruikt en de laptop vervolgens verbindt met een school of organisatie, wordt BitLocker niet langer automatisch ingeschakeld. Studenten kunnen BitLocker wel zelf aanzetten, maar in dat geval slaat Microsoft de herstelcode op in het persoonlijk account, dus niet meer bij de onderwijsorganisatie.
Volgens Folkers was dit succes nooit bereikt als hij het issue had aangekaart bij Microsoft als vertegenwoordiger van één enkele onderwijsorganisatie. “Collega’s van andere instellingen herkenden het probleem. Daardoor voelde het heel natuurlijk om te escaleren naar SURF. Ik had zelf ook wel een ingang bij Microsoft via onze customer relations manager, maar dan was de klacht, denk ik, minder serieus genomen en had het langer geduurd voor er een oplossing was.”
Wereldwijde impact en sectorbreed dilemma
De aanpassing geldt niet alleen voor Nederland. Met Windows-update 24H2 profiteren gebruikers van de educatieversie wereldwijd van deze verbetering. De situatie roept echter vragen op. Doen onderwijsorganisaties er wel goed aan de positie van een leverancier met grote marktmacht mogelijk verder te versterken door zulke productverbeteringen voor te stellen? En hoe verhoudt dit zich tot de langetermijnwens van de sector om juist te investeren in de ontwikkeling van een markt voor alternatieve aanbieders?
“Qua tijd en geld is het effectiever, zeker voor de korte termijn, om te investeren in een Microsoft-achtig product”, stelt Folkers. “Ik begrijp absoluut het dilemma dat we in feite gratis adviezen geven aan Amerikaanse partijen, waardoor we misschien de bloei van Europese alternatieven in de kiem smoren.” Hij benadrukt wel dat de onderwijsinstellingen zich geen uitval of vertraging kunnen veroorloven. Overstappen kan bovendien technisch en organisatorisch erg lastig zijn. “Wij doen bijna al ons werk met Microsoft-producten: mail, SharePoint, Teams.”
Marlon Domingus
Pleidooi voor een hybride benadering
Werken met alternatieve aanbieders houdt bovendien ook een risico in. "Je wilt er wél op kunnen vertrouwen dat zo'n club over tien jaar nog bestaat", zo benoemt Marlon Domingus een van de zorgen bij onderwijsorganisaties. Domingus is filosoof, functionaris gegevensbescherming (FG) van Erasmus Universiteit Rotterdam en voorzitter van de SURF Taskforce Beyond Privacy Shield, maar spreekt hier uitsluitend op persoonlijke titel.
Volgens Domingus kan er ook gedacht worden aan een hybride benadering van het dilemma: “De oplossing ligt niet in een zwart-witkeuze tussen Big Tech of een Europees alternatief, maar in strategisch volwassen worden als sector: betere afspraken maken met bestaande leveranciers én gecontroleerd investeren in nieuwe alternatieven."
“Vroeger hadden we gewoon lokale mailservers en support. Die hebben we op een gegeven moment allemaal weggedaan omdat we ontzorgd wilden worden. Maar nu zitten we alsnog in de zorgen."
Hij ziet mogelijkheden in het opzetten van sandbox-omgevingen, bijvoorbeeld onder de vlag van SURF. “Daarmee bedoel ik niet dat alles kan en wetgeving niet meer van toepassing is. Ik denk meer aan een testbed.” Zo zouden we ervaring op kunnen doen met de dienstverlening van nieuwe aanbieders in de beperkte context van bijvoorbeeld onderzoek, zonder direct alle risico’s te nemen.
De onderwijssector heeft een eigen verantwoordelijkheid
Domingus wijst onderwijsorganisaties ook op hun eigen verantwoordelijkheid voor de ontstane situatie. “Vroeger hadden we gewoon lokale mailservers en support. Die hebben we op een gegeven moment allemaal weggedaan omdat we ontzorgd wilden worden. Maar nu zitten we alsnog in de zorgen.”
Meer investeren in governance; minder klagen zonder zelf actie te ondernemen. Dat zou onderwijsorganisaties sieren, zo vindt Domingus.
Tekst: Thijs Doorenbosch
Headerfoto: Boris Cremers voor Universiteit Utrecht
'Overwinning of afhankelijkheid? UU en SURF bewegen Microsoft tot wereldwijde aanpassing in schijfencryptie Windows' is een artikel van SURF Magazine.
Terug naar SURF Magazine
Vragen naar aanleiding van dit artikel? Mail naar magazine@surf.nl.